Audyt ochrony danych osobowych spowodował liczne zmiany w wielu codziennych aspektach naszego życia. Wdrożone przepisy na początku zaczęły obowiązywać przede wszystkim w bankach, urzędach, a także pozostałych instytucjach publicznych. Każdy z wymienionych powyżej podmiotów ma obowiązek poinformowania swoich klientów o wystąpieniu ewentualnych naruszeń dotyczących ich danych osobowych, niezależnie od tego, czy wystąpią jakiekolwiek negatywne konsekwencje.
Skarga dotycząca zagubienia bankowej korespondencji
Do Urzędu Ochrony Danych Osobowych wpłynęła skarga dotycząca możliwości naruszenia przepisów RODO przez Bank Millennium. Zgodnie z nią miało dojść do zagubienia korespondencji zawierającej wrażliwe dane przez jedną z firm kurierskich. W tym przypadku chodzi między innymi o imię oraz nazwisko, miejsce zameldowania, numer identyfikacyjny PESEL, a także identyfikator i numer konta bankowego. Osoby, których dotyczyła ta sytuacja, zostały o tym fakcie poinformowane przez zarząd banku. Jednak audyt ochrony danych osobowych ściśle określał całą procedurę konieczną do wprowadzenia w życie w przypadku wystąpienia takiej sytuacji. Bank nie wywiązał się ze wszystkich obowiązujących przepisów prawa, które na nim spoczywały. Uzasadnił ten fakt niskim ryzykiem wystąpienia ewentualnych konsekwencji dla poszczególnych klientów. Mimo to na tej instytucji bankowej spoczywała konieczność zgłoszenia takiego faktu do Urzędu Ochrony Danych Osobowych.
Uzasadnienie nałożonej kary przez UODO
Organ nadzorczy po przeprowadzeniu szczegółowej analizy zdecydował się na nałożenie kary w wysokości około 363 tysięcy złotych. Fakt ten uzasadnił, koniecznością zgłaszania wszystkich ewentualnych nieprawidłowości do UODO. Następnie niezbędne okazałoby się powiadomienie o danej sytuacji wszystkich klientów placówki bankowej, które mogłyby zostać dotknięte naruszeniem przepisów o ochronie danych osobowych. Zgodnie z obowiązującym prawem podjęcie tych działań jest konieczne już w przypadku wystąpienia ryzyka takiej sytuacji, niezależnie od tego, czy dana osoba bądź instytucja weszła w posiadanie wrażliwych danych. Audyt ochrony danych osobowych ściśle określa, które informacje pozyskane od klientów podlegają szczególnej ochronie. Oprócz nałożenia na spółkę akcyjną bardzo wysokiej kary finansowej UODO wydał decyzję o obowiązku zawiadomienia wszystkich poszkodowanych w wyniku tej sytuacji osób. Organ nadzorczy uzasadnił swój wyrok koniecznością spełnienia funkcji represyjnej i został dobrany w oparciu o charakter, a także wagę dokonanych naruszeń. Jak widać, wdrożenie RODO nałożyło na większość instytucji funkcjonujących na rynku liczne obowiązki, których wypełnienie obwarowane jest licznymi przepisami.
- UODO ukarał Stołeczny Ośrodek dla Osób Nietrzeźwych - 1 lipca 2022
- Publiczne podawanie wagi niezgodne z zapisami RODO - 28 czerwca 2022
- Organy ochrony danych podejmują współpracę w sprawie platformy Vinted - 18 czerwca 2022